WISSEN · SYSTEME · WERKZEUGE

Was ist die ISO 27001 ISMS Informationssicherheitsmanagementsystem?

Der Begriff Informationssicherheitsmanagementsystem nach ISO 27001 kann in mehrere Begriffe aufgeteilt werden. Darin stecken Informationen, Sicherheit, Management und System. Betrachten wir also die Begriffe einzeln und führen diese anschließend wieder zu einem Ganzen zurück. Informationen sind Daten, die in einem Kontext stehen. Das bedeutet, diese Daten machen für mich als Unternehmen Sinn - sie ergeben eine Information für mich. Sicherheit bedeutet, dass die Daten bzw. Informationen sicher sind. Geschützt vor unbefugtem Zugriff, vor falscher Verwendung oder vor Korruption, also der fehlenden Integrität der Daten. Managen kommt aus dem Lateinischen (manus = Hand, agere = tun, handeln -> handhaben) und kann gleichgesetzt werden mit ""verwalten"".

Ein System ist ein Ganzes, welches aus mehreren Teilen zusammengefügt worden ist. Kombiniert steht ein Informationssicherheits-Managementsystem für die systematische Verwaltung der Informationssicherheit. Ein Informationssicherheits-Managementsystem (ISMS) wird meist nach den Anforderungen des Standards DIN ISO/IEC 27001:2017 geführt. Die aktuellste Version der Norm ersetzt die alte ISO/IEC 27001:2013. Eine Zertifizierung nach dem Standard ISO/IEC 27001 kann mit einem externen Audit durchgeführt werden.


Welche Ausbildung benötigen Sie zur Einführung oder Betreuung Ihres Informationssicherheitsmanagementsystems nach ISO/IEC 27001?


Mit unseren Schulungen zur IT-Sicherheit nach ISO 27001 machen wir Sie fit für die Einführung oder laufende Betreuung und Weiterentwicklung Ihres ISMS. Mit unserer modularen Qualifizierung können Sie mit dem Lehrgang Basiswissen ISO/IEC 27001 in die Grundlagen der IT-Sicherheit Norm einsteigen oder sich zum Internen Auditor, ISMS-Auditor oder externen Auditor ausbilden. So sind Sie bestens für die Einführung eines ISMS oder Audits vorbereitet. Hier finden Sie eine Übersicht zu unserem Gesamtangebot. Viele unserer Schulungen sind bereits als E-Learning Kurs verfügbar und können zudem direkt im Unternehmen oder daheim durchgeführt werden.


Der PDCA-Zyklus der ISO 27001

Die kontinuierliche Verbesserung des Informationssicherheitsmanagementsystems ist ein wichtiger Aspekt der Norm ISO 27001. Aus diesem Grund wurde als Methode der PDCA-Zyklus in die ISO 27001 integriert. Dieser PDCA-Zyklus besteht aus den 4 iterativen Phasen Plan, Do, Check und Act (im Deutschen: Planen, Umsetzen, Überprüfen und Handeln). Die 4 Phasen werden nacheinander durchlaufen und wiederholen sich, d.h. nach einer Act-Phase folgt der nächste Zyklus wieder mit der Plan-Phase. In der Plan-Phase werden Prozesse geplant, Verbesserungspotenziale ermittelt und der aktuelle Zustand festgestellt. Mit der Do-Phase werden die geplanten Maßnahmen umgesetzt. In der Checkphase steht die Überprüfung der Wirksamkeit der Maßnahmen im Vordergrund. Im letzten Schritt, der Act-Phase werden funktionierende und wirksame Prozesse als Standard etabliert oder auf unwirksame Prozesse entsprechend reagiert. Auch die High Level Structure, die Sie im nächsten Kapitel kennen lernen, baut auf dem PDCA Zyklus auf.

Unsere Serviceangebote im Bereich IT-Sicherheit

Aufbau der DIN ISO 27001 - Die High Level Structure

Die ISO 27001 ist wie alle modernen Managementsysteme nach der sogenannten High Level Structure (HLS) gegliedert. Diese Struktur ist bei allen bekannten Managementsystemnormen (z.B. der ISO 9001 oder ISO 14001) einheitlich aufgebaut und soll so den Umgang mit den Normen vereinfachen und vereinheitlichen. Die HLS ist in 10 Abschnitte unterteilt, welche wir Ihnen an dieser Stelle kurz vorstellen.

  1. Anwendungsbereich
  2. Normative Verweisungen
  3. Begriffe
  4. Kontext der Organisation - wird von fast allen folgenden Abschnitten aufgegriffen - ""umspannt"" den PDCA-Zyklus und die folgenden Abschnitte; oft auch als Teil der Plan-Phase dargestellt (operative Planung)
  5. Führung - Mittelpunkt des PDCA-Zyklus; oft auch als Teil der Plan-Phase dargestellt (operative Planung)
  6. Planung - Plan-Phase
  7. Unterstützung - Teil der Do-Phase
  8. Betrieb - Teil der Do-Phase
  9. Bewertung der Leistung - Check-Phase
  10. Verbesserung - Act-Phase

Welche Vorlagen, Musterdokumente und Checklisten benötigen Sie zur Einführung oder Betreuung Ihres Managementsystems für die Informationssicherheit?


Wir bieten Ihnen zahlreiche Checklisten und Mustervorlagen zum Standard ISO/IEC 27001 und zur IT-Sicherheit an. Alle Vorlagen erhalten Sie in einem offenen Format, sodass Sie diese auf Ihre Bedürfnisse anpassen und direkt im Unternehmen verwenden können. Mehr Informationen finden Sie in unserer Rubrik der Musterdokumente ISO/IEC 27001.


Abschnitt 0-3 der DIN ISO 27001

Die Abschnitte 0-3 nach dem Standard ISO/IEC 27001 beinhalten keine normativen Forderungen. In Ihnen sind allgemeine Informationen zur Norm zusammengefasst. Abschnitt 0 stellt eine Einleitung zur Informationsmanagementsystemnorm dar. Der 1. Abschnitt - Anwendungsbereich definiert die Einsatzbereiche und Hintergründe der Norm ISO 27001. Im zweiten Abschnitt (Normative Verweisungen) befinden sich Verweisungen auf anderen Normen, wie etwa der ISO 31000 und der Normen Familie der ISO 27000. Abschnitt 3 beschäftigt sich mit den Begriffen der Norm und ist in der aktuellen Fassung nur noch ein Verweis auf die ISO 27000. Das heißt, alle Definitionen und Begriffe wie sie in den alten Fassungen vor der 2013 Fassung zu finden waren, sind nun komplett in der ISO 27000.

Abschnitt 4 der ISO 27001 - Kontext der Organisation

Steigen wir in die eigentlichen inhaltlichen Kapitel ein. Kapitel 4 - Kontext der Organisation ist untergliedert in 4 Unterabschnitte. In Abschnitt 4.1 - Verstehen der Organisation und ihres Kontextes liegt der Fokus auf dem eigenen Unternehmen - Sie sollen sich systematisch mit sich selbst beschäftigen und Fragen wie ""Wer bin ich?"" und ""Was tun wir genau?"" beantworten. Dabei ist es wichtig Abhängigkeiten, Interessensparteien, das Marktumfeld, Behörden etc. miteinzubeziehen.  Im Abschnitt 4.2 geht es dann um das Verstehen der Erfordernisse und Erwartungen interessierter Parteien die im direkten Zusammenhang mit unserer Organisation stehen. Das können die typischen Gesellschafter einer Organisation, andere Organisationsteile also typischerweise Abteilungen in Konzernen aber auch Konzernschwestern oder Gesellschaften der Muttergesellschaft etc. Hierzu gehören natürlich auch die klassischen Lieferantenketten, die Kundenbeziehungen oder auch Behördenvertreter.

In Abschnitt 4.3 der ISO 27001 geht es dann um das Festlegen des Anwendungsbereichs des ISMS. Das bedeutet im Umkehrschluss, dass Ihr ISMS nicht zwangsläufig die komplette Organisation umfassen muss. Sie müssen sich an dieser Stelle Gedanken machen, welche Organisationsteile Sie einbeziehen möchten. Als Beispiel: Produzierende Unternehmen haben den meisten Nutzen davon wenn sie ihre IT und ihren IT Betrieb in den Anwendungsbereich des ISMS ziehen. Man könnte aber auch andere Abteilungen miteinbeziehen oder zu dem Schluss kommen, dass es am sinnvollsten ist die gesamte Organisation in miteinzubeziehen. Dazu gehört natürlich auch, dass Sie Schnittstellen und die Grenzen definieren.

Abschnitt 4.4 nimmt die wesentlichen Bausteine des ISMS noch einmal mit auf das Planen das Durchführen, Aufrechterhalten und Verbessern. Hier zeigt die Norm kurz auf welche Teile das ISMS im Wesentlichen beinhalten muss und wo der Bezug zum PDCA-Zyklus ist. (Das Schaubild zum PDCA-Zyklus aus der alten Norm ist nicht mehr vorhanden).

Abschnitt 5 - Führung

Nachdem Sie sich zunächst einmal mit der eigenen Organisation beschäftigt haben geht es jetzt um die Aufgaben der Führung im ISMS. Im Abschnitt 5.1 geht es dann zunächst um Führung und Verpflichtung. Hier werden der obersten Leitung konkret Aufgaben in Bezug auf das ISMS überlassen. Das heißt, es reicht nicht aus als Geschäftsführer, Vorstand oder oberstes Management Aufgaben an die Mitarbeiter zu delegieren und sich selbst nicht in das ISMS einzubringen. Die Norm weist der Führung aktive Aufgaben zu, die auch immer wieder im Zyklus des PDCA auftauchen - so kann man sich auch als Top-Management nicht zur Ruhe setzen und ist immer wieder zum Handeln gefordert.

Ein wesentlicher Punkt der der Führung oder der obersten Führung zuordnen ist, ist das Erstellen der Unternehmenspolitik im Sinne der Informationssicherheit. Diese Aufgabe kann nicht delegiert werden. Bei der Politik geht es um die wesentlichen Punkte der eigenen Informationssicherheit, die Entwicklung des Unternehmens / ISMS und das Erreichen der gesetzten Informationssicherheitsziele. In der Politik sind automatisch auch die Informationssicherheitsziele enthalten. Ebenso sind die Forderungen von 5.3 Aufgabe der obersten Leitung. Hier geht es um die Verteilung und die Definition von Rollen, Verantwortlichkeiten und Befugnissen in der Organisation. Daraus kann man ableiten, dass ein ISMS spezielle Rollen benötigt, zum Beispiel den ISMS-Beauftragen oder Informationsicherheitsbeauftragten. Es muss klar definiert werden, wer welche Befugnisse hat und welche Aufgaben im ISMS erfüllt.

Abschnitt 6 der ISO 27001 - Planung

Der nächste, sechste Abschnitt der ISO 27001 beschäftigt sich mit der Planung. Dieser Abschnitt führt sozusagen Abschnitt 4 und 5 noch einmal zusammen. Im Wesentlichen geht es um den Umgang mit Risiken und die Fragen, welche Informationsicherheitsziele Sie durch welche Planungselemente und Planungsmethoden erreichen können. Somit ist dieser Abschnitt der erste, welcher sich mit Maßnahmen beschäftigt. Das verweist sozusagen auch direkt in den Anhang A und den Aufbau eines Risikomanagements. Dieses kann unterteilt werden in zwei große Teilprozesse: die Risikoanalyse oder -beurteilung und die Risikobehandlung.

Abschnitt 7 - Unterstützung

Im Abschnitt 7 der ISO 27001 geht es dann um die Unterstützung. Hier sollen Sie sich mit der Frage beschäftigen, wie Sie Ihre Organisation und Ihr ISMS beim Betreiben der Maßnahmen und Prozesse zum Erreichen der zuvor festgelegten Informationssicherheitsziele im Rahmen der Informationssicherheitspolitik unterstützen. Dazu werden in Abschnitt 7.1 die Ressourcen noch einmal besonders deutlich hervorgehoben. Es geht hier darum die zeitlichen, monetären und personellen Ressourcen zu planen, festzulegen und bereitzustellen. Im Anschluss müssen Sie überprüfen, ob die von Ihnen zur Verfügung gestellten Ressourcen auch tatsächlich wirksam und ausreichend waren. Sie müssen nach Abschnitt 7.2 (Kompetenz) den Rollen bzw. den Mitarbeitern und den Personen, denen diese Rollen zugeordnet wurden, die Kompetenz mitgeben (z.B. durch Schulungsmaßnahmen, Coaching etc.). Sie  können auch innerhalb der Organisation oder außerhalb der Organisation auf entsprechend erfahrene und damit kompetente Mitarbeiter zugreifen.

Abschnitt 7.3 der ISO/IEC 27001 wird mit Bewusstsein umschrieben. Hier müssen Sie garantieren, dass Ihre Mitarbeiter innerhalb des Anwendungsbereichs des ISMS tatsächlich in der Lage sind, sich so zu verhalten und so zu arbeiten, dass am Ende des Tages die Informationssicherheitsziele erreicht und nicht durch Fehlverhalten unterlaufen werden. In 7.4 geht es dann um die interne und externe Kommunikation. Mit den am Anfang definierten interessierten Parteien müssen Sie natürlich auch in Kommunikation treten. Das können z.B. im Falle eines Brandes Behörden sein - wen kontaktieren Sie in diesem Fall? Was müssen Sie dabei beachten? Wie müssen also interne und externe Kommunikationskanäle und Prozesse aufbauen. Abschnitt 7.5 - Dokumentierte Information definiert, was Sie schriftlich dokumentieren müssen und wie Sie mit diesen dokumentierten Informationen umgehen müssen.

Abschnitt 8 - Betrieb

Im Abschnitt 8 der ISO 27001 geht es dann um den Betrieb. Abschnitt 8.1 beschäftigt sich mit der betrieblichen Planung und Steuerung. Aus der definieren Soll-Planung müssen Sie jetzt in die Detail Feinplanung gehen. Wie können Sie die geplanten Maßnahmen tatsächlich in die Organisation integrieren und zum Leben erwecken - die Umsetzung aus der Blaupause in das Produktive. Hier verweist die Norm immer wieder auf die vorangegangenen Abschnitte. Letzten Endes müssen Sie all das was Sie in den Planungen mit aufgenommen haben wieder spiegeln und ins Laufen bringen.

Das betrifft dann auch wieder unsere zwei großen Risiko-Management Prozesse. In 8.2 Informationssicherheitsrisikobeurteilung und 8.3 Informationssicherheitsrisikobehandlung geht es um die Beurteilung und Behandlung von ermittelten Risiken. Der Fokus liegt auf konkreten Schritten wie z.B.  neue Schlösser für Ihr Rechenzentrum,  neue Antiviren-Software oder eine neu designte oder umgebaute Firewall.

Abschnitt 9 - Bewertung der Leistung

Mit Abschnitt 9 - Bewertung der Leistung beginnt die Überprüfungsphase des PDCA-Zyklus. 9.1 Überwachung, Messung, Analyse und Bewertung müssen Sie sich Gedanken machen, wie Sie im Betrieb feststellen können, ob Ihr ISMS überhaupt so läuft, wie Sie es geplant hatten. Dazu müssen Sie Messpunkte & Methoden definieren und die  Ergebnisse dieser Messpunkte aufnehmen. Im Anschluss müssen Sie diese bewerten, kommunizieren und daraus gegebenenfalls folgerichtige Aktionen starten. Ein großer Punkt der Überwachung stellt der Abschnitt 9.2 internes Audit der DIN ISO 27001 dar. Hier wird noch einmal deutlich gelegt dass Sie mit einer gewissen Objektivität und Unabhängigkeit mittels interner Auditoren auf Ihren laufenden Betrieb des ISMS schauen sollen. Die Ergebnisse und Bewertung des internen Audits werden weitergereicht an das Top-Management.

Im Anschluss folgt Abschnitt 9.3 - Management Bewertung. In der Management Bewertung geht es letzten Endes darum, dass die oberste Leitung den Zustand des ISMS aufgrund der gelieferten Informationen im Detail zu analysieren, zu bewerten und daraus Folgemaßnahmen einzuleiten. Damit hat das Top-Management eine Entscheidungsgrundlage zur Planung und Steuerung des ISMS.

Abschnitt 10 - Verbesserung

Im letzten und zehnten Abschnitt der ISO 27001 geht es um die Verbesserung. Dieser Abschnitt ist in der Act-Phase des PDCA-Zyklus angesiedelt. In Abschnitt 10.1 geht es maßgeblich um Nichtkonformität und Korrekturmaßnahmen. In Abschnitt 9 wurde überprüft, überwacht und Monitoringinstrumente eingesetzt. Die ermittelten Fehler bzw. Abweichungen von der Norm werden Nichtkonformitäten genannt. Darauf müssen Maßnahmen einleitet werden, sogenannte Korrekturmaßnahmen, um den gewünschten Zustand wiederherzustellen. Zusätzlich müssen Sie auch analysieren warum, dieser unerwünschte Zustand eingetreten ist - die Ursachen müssen analysiert werden. Nur so können Sie ein wiederholtes Auftreten dieser Nichtkonformität verhindern.

Wenn Sie dieses Prinzip jetzt in einen permanenten Zyklus überführen, landen Sie in Abschnitt 10.2, der fortlaufenden Verbesserung (kontinuierlicher Verbesserungsprozess).

Inhouse Schulungen und Beratung zum Thema IT-Sicherheit

Sie wünschen sich ein auf Ihre Bedürfnisse ausgerichtetes Seminar zum Informationssicherheits-Managementsystem in Ihrem Unternehmen? Mit unseren Inhouse Schulungen kommen wir zu Ihnen und schulen Sie zu Ihrem Wunschthema. Gerne stehen wir Ihnen auch bei der Einführung und Zertifizierung Ihres Managementsystems beratend zur Seite - sprechen Sie uns einfach an.

Anhang A der ISO 27001

Eine Besonderheit des Standards DIN ISO 27001 ist der Anhang A. Dieser ist normativ und kann somit nicht ausgelassen werden. Es ist nur möglich einzelne Aspekte, die für das eigene Unternehmen nicht zutreffen auszuklammern - allerdings nur mit schriftlicher Begründung und Aufbewahrung dieses Nachweises als dokumentierte Information. Sie haben des Weiteren die Möglichkeiten den Anhang A durch andere Quellen zu ergänzen. Diese müssen dann genauso systematisch betrachtet werden, wie der Anhang selbst. Die Abschnitte des Anhangs zeichnen sich dadurch aus, dass Sie einer Tabelle A1 angehören und somit immer mit einem A vorneweg zitiert werden (z.B. A.1). Die Tabellen haben jeweils einen Überabschnitt und sind zusätzlich teils in Unterabschnitte gegliedert. Es wird jeweils ein Ziel definiert, dass dann im Weiteren durch spezielle Maßnahmen ausgebaut wird.

A.5 Informationssicherheitsrichtlinien und A.6 Organisation der Informationssicherheit

Der erste Punkt ist A.5 - Informationssicherheitsrichtlinien. Hier wird erneut das aufgegriffen, was bereits in den normativen Abschnitten schon definiert wurde und bezieht sich auf die Informationssicherheitspolitik. In A.6 geht es dann um die Organisation der Informationssicherheit. A.6.1 beschäftigt sich mit der internen Organisation, A.6.2 mit Mobilgeräten und Telearbeit. Hier ist jedoch der Begriff Mobilgeräte nicht mit Smartphones gleichzusetzen. Gemeint sind damit jegliche Art von mobile Endgeräten (z.B. Smartphones, Laptops, Tablets etc.). Immer dann wenn ein Endgerät nicht fest gebunden ist, wie ein Personal Computer, kann von einem Mobilgerät im Sinne des A.6.2 geredet werden.

A.7 Personalsicherheit und A.8 Verwaltung der Werte

Hier geht es um die Beschäftigung von Mitarbeitern. Dieser Abschnitt des Anhangs definiert, was Sie bei der Einstellung, Beschäftigung und dem Ausscheiden von Mitarbeitern beachten müssen. Dann kommt das große Kapitel A.8 Verwaltung der Werte. Auch hier gibt es Bezüge zu den normativen Abschnitten der Norm. Alle Werte müssen in einer Inventarliste (Asset-Register) aufgeführt werden, um das Risikomanagement entsprechend durchführen zu können. Auch das Zuordnen der Werte zu den Risiken und Maßnahmen ist hier inbegriffen und baut ebenfalls auf dem Asset-Register auf. In A.8.2 geht es um die Klassifizierung von Informationen. A.8.3 der ISO 27001 beschäftigt sich mit der Handhabung von Datenträgern (DVDs, CDs, mobile Festplatten, USB-Sticks etc.).

A.9 Zugangssteuerung

In A.9 des Anhangs A des Standards DIN ISO/IEC 27001 geht es um die Zugangssteuerung. Erst einmal müssen Sie hier unter A.9.1 Ihre Geschäftsanforderungen festlegen. In A.9.2 geht es um die Benutzerzugangsverwaltung an, also wie registrieren / deregestrieren Sie Benutzer. Mit A.9.3 werden die Benutzerverantwortlichkeiten also den Schutz ihrer jeweiligen Authentisierungsinformation definiert.

A.9.4 der ISO 27001 ist dann die Zugangssteuerungen für Systeme und Anwendungen - also weg vom eigentlichen Benutzer und seiner Verwaltung hin zur Anmeldung an Software oder Applikationen und welche Sicherheitsmaßnahmen Sie diesbezüglich treffen sollten.

A.10 - Kryptografie

Im Wesentlichen geht es hier um  die in A.10.1 genannten kryptografische Maßnahmen. In der Norm ist dieses Kapitel recht kurz gehalten, in der Realität nimmt Kryptografie allerdings einen relativ großen Teil ein. Zu nennen sind hier z.B. die Verschlüsselung von E-Mails, Datentransfers, Up- und Downloads zu Cloud-Diensten, komplette Webseiten, Sprachnachrichten etc. Dieses Thema wird in Zukunft mit den Vorgaben der DSGVO im Datenschutz und den entsprechenden internationalen Verflechtungen auch in Zukunft noch zusätzlich an Relevanz gewinnen.

A.11 Physische und umgebungsbezogene Sicherheit

In A.11.1 der ISO 27001 werden Sie aufgefordert Sicherheitsbereich zu definieren, um sensible Bereich vor unbefugtem Zugriff zu schützen. Dasselbe gilt natürlich nach A.11.2 für die Geräte und Betriebsmittel in diesen Bereichen. Auch hier müssen Sie sich überlegen, welche Betriebsmittel einsetzen und welchen Risiken diese ausgesetzt sind.

A.12 Betriebssicherheit

A.12 des Anhangs A der DIN ISO 27001 beschäftigt sich mit der Betriebssicherheit. Hierzu müssen Sie zunächst einmal in A.12.1 Ihre Prozesse noch einmal definieren und eine Kapazitätssteuerung durchführen. Je nach Größe und Komplexität Ihrer Organisation und Ihrer Technik sollten Sie Entwicklungs-, Test- und Produktiv- Systeme voneinander trennen. Der Fokus von A.12.2 liegt auf dem Schutz vor Schadsoftware. Hierzu können Sie unter anderem eine Antivirensoftware nutzen - diese reicht in den meisten Fällen jedoch nicht aus und müssen weitere Maßnahmen in Betracht gezogen werden. A.12.3 definiert die Datensicherung, also Backups. In A.12.4 geht es um Protokollierung und Überwachung. An dieser Stelle müssen Sie sich überlegen, wie und was Sie protokollieren müssen. A.12.5 definiert die Steuerung von Software im Betrieb. Im Wesentlichen geht es hier um Nutzerbeschränkungen zur Installation von Software. A12.6 behandelt die Handhabung technischer Schwachstellen. Im letzten Teil, A.12.7 finden Sie Informationen über das Audit von Informationssystemen.

A.13 Kommunikationssicherheit und A.14 Anschaffung, Entwicklung und Instandhalten von Systemen

A.13 beschäftigt sich im Wesentlichen mit der Kommunikationssicherheit. Mit A.13.1 soll die Sicherheit in Netzwerken sichergestellt werden. A.13.2 definiert die Sicherheit bei Informationsübertragungen. Das folgende Kapitel A.14 der ISO 27001 Anschaffung Entwicklung und Instandhaltung von Systemen zielt auf die  IT, Hard- und Software ab. A.14.1 definiert Sicherheitsanforderungen an Informationssysteme. Auch das Thema Lifecycle Management wird hier angesprochen. A 14.2. beschreibt die Sicherheit in Entwicklungs- und Unterstützungsprozessen.

A.15 Lieferantenbeziehungen und A.16 Handhabung von Informationssicherheitsvorfällen

A.15 des Anhangs A des Standards DIN ISO 27001 behandelt die Steuerung der Dienstleistungserbringung von Lieferanten. Hier soll ein Niveau zwischen Lieferant und Unternehmen vereinbart und die Sicherheit von Werten, die Lieferanten nutzen, gewährleistet werden. A.16 stellt einen relativ großen Block über das Thema Handhabung von Informationssicherheitsvorfällen und den Verbesserungen die sich daraus ergeben.

A.17 Informationssicherheitsaspekte beim Business Continuity Management und A.18 Compliance

Hier wird die Forderung aufgestellt, sich mit Notfällen zu beschäftigen, um diese möglichst so abzufedern, dass eine Gefährdung der Informationssicherheit nicht zutage tritt. Abschließend im Anhang A der ISO/IEC 27001 steht das Kapitel A.18 Compliance. Hier geht es um die Einhaltung gesetzlicher und vertraglicher Anforderungen.